GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Configurar MOSS 2007 para invocar un Web Service desde un Formulario InfoPath en NLB


Cada vez es más habitual la publicación de Formularios InfoPath en SharePoint (MOSS) para su explotación desde Librerías de Documentos, pudiendo extender las funcionalidades básicas de los Formularios InfoPath con invocaciones a Web Services (por poner un ejemplo). El escenario se complica, cuando tenemos configurados MOSS en balanceo de carga (ej: en un Cluster NLB), y el acceso al Web Service requiere Autenticación. ¿Por qué no funciona esta configuración en NLB?

Se trata del típico problema de Delegación de Kerberos en IIS. Aunque un caso típico es cuando se configura MOSS en un Cluster NLB, no hace falta disponer de un entorno de Alta Disponibilidad basado en Balanceo de Carga para reproducir este problema, siendo suficiente con acceder a un Frontal de MOSS utilizando un nombre distinto de su nombre NetBIOS, como es por ejemplo, al acceder a MOSS utilizando un nombre DNS (sea un registro HOST o un registro CNAME o Alias) distinto del nombre de máquina.

Descripción del Escenario del Error

El escenario es el siguiente:

  • Existe un Cluster NLB de Frontales de MOSS, configurado con Autenticación Integrada.
  • El Application Pool de IIS de la Aplicación Web de MOSS, utiliza una cuenta de dominio para su ejecución (ej: GUILLESQL\MOSSSvc).
  • Se publica un Formulario InfoPath que accede a un Web Service. Realmente, no es vinculante que el Web Service esté publicado en las mismas máquinas de MOSS o en otras máquinas diferentes, aunque conceptualmente queda más claro pensar que se trata de máquinas diferentes.
  • El Servicio Web requiere de Autenticación para su ejecución. Es indiferente, si el Servicio Web está publicado en un IIS, o en varios IIS formando un Cluster NLB.

A continuación, se muestra un diagrama representativo de este escenario.

La problemática es la siguiente:

  • Desde un equipo, un usuario (ej: el usuario GUILLESQL\usuPruebas) se conecta a MOSS utilizando un nombre DNS, en particular, el nombre DNS asignado al Cluster NLB (en el ejemplo, intranet.guillesql.local).
  • El usuario accede e interactúa con un Formulario InfoPath, el cual intenta acceder a un Web Service.
  • MOSS recibe una petición HTTP con las credenciales del usuario. Al ejecutar el Formulario InfoPath, MOSS intenta acceder al Web Service utilizando las credenciales del usuario, en vez de las credenciales utilizadas para ejecutar el Application Pool de IIS (este comportamiento se denomina Delegación). No lo consigue, produciéndose el mensaje error siguiente: Error al obtener acceso a un origen de datos (en inglés: An error occurred accessing a data source).

Aquí está el verdadero problema: MOSS no es capaz de enviar las credenciales del usuario en la petición al Web Service, realizando una petición al Web Service de forma anónima. Ojo, que el usuario no invoca al Web Service, sino que por el contrario, el usuario invoca un Formulario InfoPath (que es ejecutado en MOSS), y el Formulario InfoPath (quiero decir, MOSS) invoca al Web Service, intentando realizar dicha invocación utilizando las credenciales del usuario (Delegación).

Una forma de evidenciar este comportamiento, es comprobar el Log del Sitio Web del IIS en el que está publicado el Web Service. Esto es vital para un correcto diagnóstico, como vamos a ver.

A continuación se muestra un fragmento de Log de IIS de ejemplo, en el cual llega una petición anónima al Web Service de ejemplo, que genera un error (código HTTP 401, es decir, Unauthorized ó Access Denied), lo que representa el problema del que estamos hablando:

2009-09-10 11:15:13 W3SVC8926281 192.168.1.100 POST /WSInfoPath/GetClientes.asmx - 80 - 192.168.1.100 InfoPathDA 401 1 0

Y aquí va el contraejemplo, en forma de un fragmento de Log de IIS, en el cual llega una petición al Web Service de ejemplo, con la información del usuario (en nuestro caso GUILLESQL\usuPruebas), lo cual finaliza con éxito (código HTTP 200, es decir, OK), que representa el objetivo al que se debería llegar cuando se solucione el problema y también representa lo que ocurre cuando se accede a MOSS a través del nombre de un Frontal (suponiendo que existe un Acceso Alternativo válido).

2009-09-10 12:17:21 W3SVC8926281 192.168.1.100 POST /WSInfoPath/GetClientes.asmx - 80 GUILLESQL\usuPruebas 192.168.1.100 InfoPathDA 200 0 0

¿Queda claro que no llegan las credenciales del usuario al Web Service, verdad?

Lo más cachondo de todo esto, es que si accedemos a MOSS utilizando el nombre de uno de los Frontales (suponiendo que esté configurado como Acceso Alternativo válido), todo funciona correctamente, mientras que si accedemos a MOSS utilizando un nombre DNS (como es el caso del nombre DNS compartido para el acceso a través del NLB), se produce un error (Error al obtener acceso a un origen de datos) al acceder al formulario InfoPath y además encontramos intentos de acceso anónimos al Web Service con código de error HTTP 401 (los que comentamos antes).

Este comportamiento, evidencia que se trata de un problema de Delegación de Kerberos, pero si no estamos sobre aviso, no sólo no nos evidenciará nada, sino que además nos generará bastante confusión.

A continuación se muestra una pantalla de error de InfoPath, a modo de ejemplo:

Si pulsamos en Mostrar detalles del error, obtenemos la siguiente información (Error al obtener acceso a un origen de datos, en inglés, An error occurred accessing a data source):

Creo que con todo esto, tenemos una descripción suficientemente completa de nuestro problema. Sigamos.

Soluciones y Alternativas

Para solucionar este problema, tenemos varias alternativas, aunque sólo una es la realmente buena (configurar correctamente la Delegación de Kerberos). En cualquier caso, vamos a comentarlas todas.

Configurar el Acceso Anónimo en el Web Service (perdemos seguridad)

Esto es tan sencillo, como mostrar el diálogo de Propiedades del Web Service, desde la herramienta administrativa IIS Manager, en la pestaña File Security, editar las propiedades de Autenticación y Control de Acceso (el botón Edit de la sección Authentication and access control), para finalmente habilitar el Acceso Anónimo activando el Check Box de Enable anonymous access. A continuación se muestra una pantalla captura a modo de resumen de esta configuración.

Evidentemente, en caso de que el Servicio Web esté publicado en varios servidores Web (por ejemplo, formando un Cluster NLB), será necesario realizar esta configuración manualmente en cada uno de los Nodos del Cluster NLB.

Por último, comentar que en caso de habilitar el acceso anónimo, estamos perdiendo seguridad, ya que en ese caso podrá acceder al Servicio Web hasta el Tato. Otra cosa, es que adicionalmente intentemos securizar el acceso al Servicio Web, restringiendo su acceso a determinadas direcciones IP (por ejemplo, a las direcciones IP de los servidores MOSS), ya sea desde IIS o en la configuración de reglas de acceso de los correspondientes Firewall.

Acceder por un Nodo (perdemos la Alta Disponibilidad del Cluster NLB)

Como hablábamos anteriormente, es posible acceder correctamente al Formulario InfoPath y al Web Service, utilizando el nombre de un Frontal MOSS, pero claro, en esta situación, estamos perdiendo la Alta Disponibilidad que nos ofrece un Cluster NLB.

Además, esto tiene una limitación adicional, que es la propia resolución de nombres, ya que para poder acceder utilizando el nombre NetBIOS de un Frontal, el equipo cliente tiene que ser capaz de resolver correctamente dicho nombre, algo que suele ocurrir en entorno Intranet, pero que no suele ocurrir en entornos Internet.

Configurar la Delegación de Kerberos en IIS

La última de las opciones, quizás la más apropiada en la mayoría de los casos, es configurar la Delegación de Kerberos en IIS. Para realizar esto, seguí las instrucciones que comenté ya hace un tiempo, relacionadas con la configuración de la Autenticación Integrada y Delegación de Kerberos en IIS, utilizando nuestro tan querido como odiado comando setspn.exe, y modificando la Metabase del IIS para Sitio Web de MOSS. El resumen de los pasos es el siguiente (el detalle se puede ver en el artículo que os comentaba un poco antes):

  • Habilitar la Delegación de Kerberos en las cuentas de equipo de los servidores IIS (opción Trust this computer for delegation). Requiere reiniciar.

  • Habilitar la Delegación de Kerberos en la cuenta de usuario utilizada en el Application Pool del IIS (opción Account is trusted for delegation).

  • Registrar los Service Principal Name (SPN) que resulten necesarios, utilizando el comando setspn.exe, que ejecutaremos con un usuario Administrador de Dominio. Para nuestro caso, podríamos ejecutar los siguientes comandos:

    setspn -A HTTP/intranet GUILLESQL\MOSSSvc
    setspn -A HTTP/intranet.guillesql.local GUILLESQL\MOSSSvc

    Ojo al copiar y pegar sobre una ventana de símbolo del sistema, que en ocasiones, los guiones se copian mal, y aunque visualmente parece que tenemos escrito el comando correcto, resulta que los guiones no están bien y es necesario borrarlos y escribirlos a mano. Ojo con el copiar y pegar.

  • Modificar la Metabase de IIS en cada Servidor Web, utilizando el script adsutil.vbs o la herramienta Metabase Explorer. Para nuestro caso, podríamos ejecutar el siguiente comando en cada servidor Web:

    cscript adsutil.vbs get w3svc/8926281/root/NTAuthenticationProviders

Realizados estos pasos, todo funciona OK, pero... resulta que no funciona al intentar acceder a MOSS utilizando el nombre de uno de los servidores MOSS (que está correctamente configurado como Acceso Alternativo válido), es decir, sólo conseguimos acceder utilizando el nombre asignado a la IP del NLB. ¿Qué hacemos?

Tranquis, que no pasa na. Simplemente necesitaremos registrar los Service Principal Name (SPN) asociados a los servidores MOSS. Suponiendo que los servidores MOSS se llaman MOSS1 y MOSS2, sería suficiente con ejecutar los siguientes comandos:

setspn -A HTTP/moss1 GUILLESQL\MOSSSvc
setspn -A HTTP/moss1.guillesql.local GUILLESQL\MOSSSvc
setspn -A HTTP/moss2 GUILLESQL\MOSSSvc
setspn -A HTTP/moss2.guillesql.local GUILLESQL\MOSSSvc

Actualizado 21/02/2010: Recientemente me he encontrado un caso parecido, en particular, configurar la Autenticación y Delegación de Kerberos con MOSS y Analysis Services, que puede resultar una lectura de interés en relación con el tema del presente artículo.



Comentarios

martavhdez - 01/02/2012 (UTC)
Hola GuilleSQL, hemos leido tu post, y tenemos "exactamente" el mismo error. Te explico:
Tenemos una granja SharePoint formada por UN sólo frontal que hace de Administración central (y evidentemente servicios de search e index). En el punto en el que nos encontramos(hemos tenido un problema con la máquina y nos ha tocado hacerla de cero) es que los formularios de infopath nos abren desde el propio servidor con urls interna(http) y externa(https), desde la propia red sólo nos abren con interna (http) y desde internet (https://urlpublica) no nos funcionan (nos da el mismo error que a tí y dependiendo qué formulario nos da a mayores error 5566). Las soluciones que propones creemos que no nos valen porque no usamos Kerberos ni autenticación anónima. Si te sirve de ayuda, la gente se autentica al active directory por medio de un ISA Server 2006 que creemos está bien configurado, ya que otras granjas que tenemos van correctamente y están igual configuradas en el ISA.

Esperamos ayuda por favor, ya que llevamos una semana detrás de ello y se nos han acabado las ideas.

Muchas gracias!



Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!


Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)



Copyright © 2007 GuilleSQL, todos los derechos reservados.